С момента массового хищения данных у компании Hacking Team, поставлявшей шпионский софт и другие хакерские решения правительствам и военным структурам многих стран, прошел месяц. В огромном архиве миланской компании обнаружились, в числе прочего, и опасные вещи – эксплоиты, информация о различных 0day уязвимостях. Сейчас, спустя время, становится известно, что хакерские группы незамедлительно взяли наработки Hacking Team в оборот.
«Лаборатория Касперского» сообщает, что экплоиты Hacking Team во всю использует группа Darkhotel, в частности, известная шпионской кампанией в отелях премиум-класса, нацеленной на высокопоставленных лиц и бизнесменов. Darkhotel применяет 0day для Adobe Flash Player из «портфолио» Hacking Team практически с самого момента утечки данных, которая имела место 5 июля текущего года.
По данным «Лаборатории Касперского», благодаря применению новых 0day и эксплоитов, группа Darkhotel не просто вернулась к активным действиям, но сумела расширить географию атак. Эксперты фиксировали нападения в России, Японии, Северной и Южной Корее, Бангладеш, Таиланде, Индии, Мозамбике и Германии.
Подробный анализ деятельности группировки в 2015 году опубликован на Securelist.
Тем временем, в документации Hacking Team продолжают находить что-то новое. На днях эксперты компании FireEye сообщили об обнаружении в архивах Hacking Team эксплоитов для бреши Masque. Если ранее в документах Hacking Team нашли ряд серьезных угроз для Android, то в этом случае под ударом оказались пользователи iOS.
Атака Masque построена на нескольких уязвимостях в iOS и позволяет хакерам подменять настоящие приложения своими. Если пользователь установит себе такой фейковый Chrome, Twitter, Facebook, Viber, Skype или WhatsApp, которые ведут себя в точности как настоящие, хакеры получат возможность собирать приватные данные пользователя, получат доступ к данным других приложений, смогут вмешиваться в трафик и так далее.
Техника атаки строится на взломе URL Scheme, когда пользователь, в ходе браузинга, кликает на зараженную ссылку, а на его iPhone скачивается и устанавливается приложение. Все это происходит вообще без ведома жертвы. Фальшивое приложение ведет себя в точности как настоящее. В архивах Hacking Team обнаружилось 11 таких приложений-фальшивок.
«Представьте вредоносную версию приложения для вызова такси, которая всегда вызывает водителя, который работает на плохих парней. Представьте мессенджер, который автоматически отправляет все личные сообщения, фото и данные GPS на удаленный сервер», — рассказал Business Insider представитель FireEye Саймон Маллис (Simon Mullis)
В iOS 8.1.3 и 8.4 уязвимости Masque закрыли полностью, или частично, однако в отчете FireEye сообщается, что уже замечены случаи использования наработок Hacking Team: фальшивые приложения уже вызвали интерес у хакеров. Пока пострадавших мало, но эксперты ожидают, что совсем скоро атаки Masque наберут популярность.
Эксперты FireEye утверждают, что это первый случай, когда малварь для iOS ориентирована на обычные устройства, без джейлбрейка.
Фото: Getty Images
